DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Nein, diese E-Mail stammt nicht von der Helsana. Wer die angehängte Word-Datei öffnet, fängt sich einen E-Banking-Trojaner ein.

Neue Malware-Attacke erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt erneut: Kriminelle versenden aktuell gefälschte E-Mails im Namen von Krankenkassen, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren.



Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Krankenkasse Helsana verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter:

«Cyberkriminelle machen sich die aktuelle Diskussion um die steigenden Krankenkassenprämien zunutze und versenden gefälschte E-Mails im Namen von Helsana mit dem Ziel, Computer in der Schweiz mit dem E-Banking-Trojaner ‹Retefe› zu infizieren. Nicht öffnen, sondern löschen!»

Retefe ist ein bekannter Trojaner, der von Kriminellen seit Jahren gegen Windows-Nutzer eingesetzt wird. Seit 2017 wird Retefe auch gezielt gegen Mac-Nutzer eingesetzt. Die Schadsoftware kann auch Android-Smartphones befallen. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz.

Die orthografisch fast lupenreine Nachricht der Betrüger mit dem Betreff «Erhöhung der Preise ab Oktober 2018» lautet:

Sehr geehrter Kunde,

Wir setzen Sie hiermit in Kenntniss, dass die Sparbeiträge in der nächsten Zeit erhöht werden.

Sie können sich mit der notwendigen Information im Anhang bekannt machen.

Freundliche Grüsse
Ihr Helsana-Newsletter-Team

Diese E-Mail sollte man sofort löschen

Bild

Die E-Mail gibt vor, dass die Krankenkassenprämien bei Helsana steigen. Weitere Informationen finde man im Mail-Anhang.

Die unbekannten Täter setzen darauf, dass einige der Angeschriebenen tatsächlich bei Helsana versichert sind und aufgrund der gestrigen Medienberichterstattung über die steigenden Krankenkassenprämien kaum Verdacht schöpfen werden. Im Anhang der gefälschten E-Mail befindet sich eine Word-Datei. Wer die Datei öffnet, installiert den E-Banking-Trojaner Retefe. Dieser hat es beispielsweise auf die Passwörter der Opfer abgesehen.

Die Betrüger senden die infizierten E-Mails vermutlich wieder an Tausende Schweizer. Wenn nur ganz wenige Personen darauf hereinfallen, kann sich der Angriff für die Kriminellen bereits gelohnt haben.

Der E-Banking-Trojaner wird erst beim Öffnen des Mail-Anhangs (oft eine Word- oder Zip-Datei) aus dem Internet heruntergeladen.

Bild

Microsoft Word schützt den Nutzer eigentlich vor Malware. Die Betrüger versuchen ihre Opfer aber mit dieser Botschaft dazu zu verleiten, den Schutz selbst zu deaktivieren, damit sich Retefe installieren kann.

Wichtig ist, dass die mit der Schadsoftware infizierten Webseiten von den Internet-Providern schnell gesperrt werden, so dass der infizierte Mail-Anhang den E-Banking-Trojaner Retefe nicht mehr herunterladen kann.

Die Stiftung Switch, die für den Betrieb und die Sicherheit der Schweizer Internetadressen verantwortlich ist, bietet einen Dienst an, der die Infektion von Retefe verhindern soll. «In den meisten Fällen wird der Schadcode vom Internet nachgeladen. Unser DNS-Firewall-Service blockiert diese Zugriffe, da wir diese Kampagnen automatisch detektieren», sagte Daniel Stirnimann, Security-Experte bei Switch, bei einer früheren Malware-Welle.

Ist der Malware-Angriff noch aktiv? Diese Webseite zeigt es.

Auf der Webseite https://urlhaus.abuse.ch/ sieht man, von welchen Webseiten Retefe beim Öffnen des Mail-Anhangs heruntergeladen wird und ob die infizierten Webseiten noch aktiv sind.

Bild

Am Dienstagmorgen war die beim aktuellen Angriff genutzte Webseite noch online.

Erkennen Virenscanner den Trojaner?

Die Schadsoftware Retefe wird von der so genannten ReTeFe-Gang gezielt gegen Windows-, Mac- und Android-Nutzer in der Schweiz eingesetzt. Die Kriminellen ändern den Trojaner jeweils ab, damit er von Virenscannern nicht gleich erkannt wird. Neue Retefe-Versionen werden von Virenscannern und Betriebssystemen also in den ersten Stunden der Malware-Verbreitung oft nicht als Malware erkannt, da Retefe kaum von gutartiger Software unterschieden werden kann.

Stark vereinfacht gesagt, verhält sich Retefe wie normale Programme, die beispielsweise von IT-Administratoren genutzt werden. Die Schadsoftware ist quasi eine Umkonfiguration eines Computersystems, was per se nicht bösartig ist. Die Antivirenhersteller können daher meist erst nach einer neuen Angriffswelle auf die neue Retefe-Version reagieren.

Besonders versierte Angreifer hebeln auch die Sicherheitsmassnahmen von Windows und MacOS aus, indem sie gestohlene Entwicklerzertifikate nutzen, um ihre Schadsoftware als sichere Software zu signieren. Weder das Betriebssystem noch der Virenscanner erkennt den Trojaner in diesem Fall als Schadsoftware.

So können sich Computer-Nutzer schützen

Der beste Schutz ist, das Windows- oder Mac-Betriebssystem aktuell zu halten, sprich neue Updates sofort zu installieren.

Windows 10 hat mit «Windows Defender» einen eigenen Virenscanner, der Bedrohungen durch Trojaner (zumindest nach einer gewissen Zeit) abwehren kann.

Animiertes GIF GIF abspielen

«Windows Defender» lässt sich in den Windows-10-Einstellungen unter «Update und Sicherheit» aktivieren. Das GIF zeigt, wie dies geht. gif: watson

Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

(oli)

Brandgefahr bei Akkus. Das tust du im Ernstfall.

Video: srf

Sieben eindrückliche Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Das könnte dich auch interessieren:

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

Urteil gegen Ex-Polizist wegen Tötung George Floyds

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel